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Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäi- 
schen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewähr- 
ieistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informati- 
onssystemen in der Union 


A. Problem 

Am 8. August 2016 trat die Richtlinie (EU) 2016/1148 des Europäischen Parla- 
ments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines 
hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in 
der Union (ABI. L 194 vom 19. Juli 2016, S. 1; im Folgenden: NlS-Richtlinie) in 
Kraft. Mit der Richtlinie wurden ein einheitlicher europäischer Rechtsrahmen für 
den EU-weiten Aufbau nationaler Kapazitäten für die Cyber-Sicherheit, eine stär- 
kere Zusammenarbeit der Mitgliedstaaten der Europäischen Union sowie Min- 
destsicherheitsanforderungen an und Meldepflichten für bestimmte Dienste ge- 
schaffen. Ziel ist es, einheitliche Maßnahmen festzulegen, mit denen ein hohes 
Sicherheitsniveau von Netz- und Informationssystemen in der Europäischen 
Union erreicht werden soll (Artikel 1 Absatz 1 der NlS-Richtlinie). Die NlS- 
Richtlinie ist gemäß ihrem Artikel 25 Absatz 1 bis zum 9. Mai 2018 in nationales 
Recht umzusetzen. Gemäß Artikel 5 Absatz 1 der NlS-Richtlinie ermitteln die 
Mitgliedstaaten bis zum 9. November 2018 für jeden in Anhang 11 der Richtlinie 
genannten Sektor und Teilsektor die Betreiber wesentlicher Dienste mit einer Nie- 
derlassung in ihrem Floheitsgebiet. 

B. Lösung 

Die europarechtlichen Vorgaben wurden bezüglich der Betreiber wesentlicher 
Dienste, in Deutschland die sogenannten Kritischen Infrastrakturen gern. § 2 Ab- 
satz 10 BSIG, im Wesentlichen bereits durch das Gesetz zur Erhöhung der Sicher- 
heit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 
(BGBl. 1 S. 1324) in deutsches Recht umgesetzt. Daher sind im Rahmen einer 
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Anpassung des Gesetzes über das Bundesamt für Sicherheit in der Informations- 
technik (BSIG) sowie einer Anpassung einzelner für bestimmte Branchen der Kri- 
tischen Infrastrukturen vorrangiger Spezialgesetze (des Atomgesetzes (AtG), des 
Energiewirtschaftsgesetzes (EnWG) und des Fünften Buches Sozialgesetzbuch — 
Gesetzliche Krankenversicherung (SGB V)) nur wenige Anpassungen erforder- 
lich. 

Zur Umsetzung der Vorgaben der NlS-Richtlinie werden die Befugnisse des Bun- 
desamtes für Sicherheit in der Informationstechnik (BSl) zur Überprüfung der 
Einhaltung der technischen und organisatorischen Sicherheitsanforderungen, die 
Nachweispflicht der Betreiber nach § 8a BSIG und die Regelungen in § 8b BSIG 
um Vorgaben für das Verfahren bei grenzüberschreitenden Vorfällen erweitert. 
Ergänzend werden Regelungen zu Mobilen Incident Response Teams (MlRTs) 
aufgenommen, mit denen das BSl andere Stellen bei der Wiederherstellung ihrer 
IT-Systeme unterstützen wird. Zudem wird das BSIG um eine Definition der di- 
gitalen Dienste sowie um spezielle Regelungen zu Sicherheitsanforderungen, zu 
Meldepflichten und zur Aufsicht im Flinblick auf die Anbieter digitaler Dienste 
ergänzt; die Bußgeldvorschriften in § 15 werden entsprechend angepasst. 

Die in Artikel 5 der NlS-Richtlinie vorgesehene Ermittlung der Betreiber wesent- 
licher Dienste wird über die im geltenden Recht bereits vorgesehene Rechtsver- 
ordnung nach § 10 Absatz 1 BSIG vorgenommen. Ergänzt wird eine Ermächti- 
gung zum Erlass von Rechtsverordnungen zur Umsetzung der in Artikel 16 der 
NlS-Richtlinie vorgesehenen Durchführungsrechtsakte. 

Die nach § 8c BSIG vorrangigen Spezialgesetze werden entsprechend den im 
BSIG mit Bezug auf den Betrieb Kritischer Infrastrakturen enthaltenen Regelun- 
gen angepasst, soweit sie die Anforderungen der NlS-Richtlinie bezüglich der Be- 
treiber wesentlicher Dienste bisher unterschreiten. 

Neu eingeführt werden Regelungen bezüglich der digitalen Dienste Online- 
Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste in das BSIG. 

Zusätzlich werden mit dem Gesetzentwurf erforderliche Klarstellungen, Bereini- 
gungen und Anpassungen bei den Unterstützungsaufgaben des BSl vorgenom- 
men. 

Annahme des Gesetze ntwnrfs in geänderter Fassnng mit den Stimmen der 
Fraktionen der CDU/CSU nnd SPD gegen die Stimmen der Fraktion BÜND- 
NIS 90/DIE GRÜNEN bei Stimmenthaltung der Fraktion DIE LINKE. 

C. Alternativen 

Keine. 

D. Haushaltsausgaben ohne Erfüllungsaufwand 

Keine. 


E. Erfüllungsaufwand 

E.1 Erfüllungsaufwand für Bürgerinnen und Bürger 

Für die Bürgerinnen und Bürger entsteht kein zusätzlicher Erfüllungsaufwand. 
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E.2 Erfüllungsaufwand für die Wirtschaft 

Für die Betreiber von Energieversorgungsnetzen und Energieanlagen, für be- 
stimmte Telekommunikationsanbieter, für die Gesellschaft für Telematikanwen- 
dungen der Gesundheitskarte mbFt (gematik), deren Gesellschafter die Spitzen- 
verbände der Leistungserbringer und Kostenträger im nationalen Gesundheitswe- 
sen sind, sowie für sonstige Betreiber Kritischer Infrastrukturen entsteht ein Er- 
füllungsaufwand von maximal 8,66 Millionen Euro. 

Für die Anbieter digitaler Dienste resultiert darüber hinaus durch die Verpflich- 
tung zur Einhaltung eines Mindestniveaus an IT-Sicherheit und die Einführang 
von Meldepflichten für bestimmte IT -Vorfälle Erfüllungsaufwand. Dieser Auf- 
wand kann im Voraus nicht quantifiziert werden, da das erforderliche Sicherheits- 
niveau und Meldeschwellen erst durch Durchführungsrechtsakte der Kommission 
festgelegt werden. 

Der Kreis der verpflichteten Anbieter kann derzeit nicht konkret eingegrenzt und 
eine entsprechende Zahl meldepfiichtiger Anbieter digitaler Dienste benannt wer- 
den, da hierzu keine Erhebungen vorliegen. Es wird jedoch geschätzt, dass von 
den Regelungen für digitale Dienste in Deutschland zwischen 500 und 1.500 Un- 
ternehmen betroffen sein werden. Die konkrete Anzahl hängt jedoch auch von 
späteren Festsetzungen der Durchführungsakte der Kommission ab. Der Aufwand 
für die Umsetzung von Maßnahmen zur Sicherung technischer Einrichtungen für 
einzelne Anbieter kann im Voraus nicht quantifiziert werden, da das erforderliche 
Sicherheitsniveau erst durch Durchführungsrechtsakte der Kommission festgelegt 
werden wird. Da Informationstechnik für Anbieter von digitalen Diensten das 
Kemgeschäft darstellt, und diese zudem bereits durch datenschutzrechtliche Vor- 
gaben zur Gewährleistung eines hinreichenden Niveaus an Datensicherheit ver- 
pflichtet sind, ist allerdings davon auszugehen, dass das IT-Sicherheitsniveau bei 
digitalen Diensten bereits hohen Anforderungen genügt. 

Auch die Anzahl der meldepflichtigen Vorfälle und der hierdurch für einzelne 
Anbieter resultierende Aufwand sind abhängig von der Festlegung konkreter 
Schwellenwerte und Meldevorgaben in Durchführungsrechtsakten der Kommis- 
sion. Unter der Annahme, dass pro Betreiber und Jahr sieben Meldungen eines 
schweren Sicherheitsvorfalls erfolgen, und unter Ansatz einer Kostenschätzung 
von 660 Euro pro Meldung ergeben sich Gesamtkosten für die Meldepflicht digi- 
taler Dienste in Flöhe von rand 4,6 Mio. Euro. Kostenmindernd wird sich voraus- 
sichtlich auch hier auswirken, dass aufgrund datenschutzrechtlicher Vorgaben 
Meldestrukturen bereits vorhanden sein müssen. 


Davon Bürokratiekosten: 

Einzig die Meldepflichten für digitale Dienste und bestimmte Energieversor- 
gungsnetzbetreiber stellen eine Informationspflicht dar, wodurch die Bürokratie- 
kosten um rund 1 1,76 Millionen Euro steigen. 

Die Belastungen sind nicht im Rahmen der One in, one out-Regel der Bundesre- 
gierung zu kompensieren, da diese Änderangen aus einer 1 : 1 -Umsetzung der ver- 
bindlichen Mindestvorgaben der Richtlinie (EU) 2016/1 148 resultieren. 
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E.3 Erfüllungsaufwand der Verwaltung 

Der Verwaltung entsteht für die Erfüllung der im Gesetz vorgesehenen zusätzli- 
chen Aufgaben ein Aufwand von insgesamt 185,5 Planstellen/Stellen mit Perso- 
nalkosten in Höhe von jährlich rand 14,216 Millionen Euro. 

Davon ist beim BSl ein Erfüllungsaufwand in Höhe 181,5 Planstellen/Stellen mit 
Personalkosten in Höhe von jährlich rund 13,909 Millionen Euro und beim Bun- 
desministerium des Innern (BMI) ein Erfüllungsaufwand in Höhe von 4 Planstel- 
len/Stellen mit Personalkosten in Höhe von jährlich rund 420.000 Euro zu berück- 
sichtigen. Beim BSl werden in geringem Umfang zusätzliche Sachkosten entste- 
hen, die aus dem Haushalt des BSl getragen werden können. 

Der Bedarf an Personalmitteln sowie Planstellen und Stellen soll finanziell und 
stellenmäßig im jeweiligen Einzelplan ausgeglichen werden. 

Der Erfüllungsaufwand für die Länder und Kommunen isf derzeit nicht beziffer- 
bar. 


F. Weitere Kosten 

Betreibern Kritischer Infrastrukturen können im Sonderfall nach § 8a Absatz 3 
Satz 3 BSIG Kosten entstehen, soweit berechtigte Zweifel an der ordnungsgemä- 
ßen Einhaltung der ihnen obliegenden Sicherheitsanforderungen bestehen, die 
eine zusätzlich Überprüfung vor Ort erforderlich machen. 
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Beschlussempfehlung 

Der Bundestag wolle beschließen, 

den Gesetzentwurf auf Drucksachen 18/11242, 18/11620 mit folgenden Maßga- 
ben, im Übrigen unverändert anzunehmen: 

Artikel 5 wird wie folgt gefasst: 


, Artikel 5 

Änderung des Telekommunikationsgesetzes 

Das Telekommunikationsgesetz vom 22. Juni 2004 (BGBl. 1 S. 1190), das 

zuletzt durch Artikel 1 und 12 des Gesetzes vom 4. November 2016 (BGBl. 1 S. 

2473) geändert worden ist, wird wie folgt geändert: 

1. § 100 Absatz 1 wird wie folgt geändert: 

a) ln Satz 1 werden nach den Wörtern „der Teilnehmer und Nutzer“ die 
Wörter „sowie die Steuerdaten eines informationstechnischen Proto- 
kolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommu- 
nikationsvorgangs übertragen oder auf den am Kommunikationsvor- 
gang beteiligten Servern gespeichert werden und zur Gewährleistung 
der Kommunikation zwischen Empfänger und Sender notwendig sind,“ 
eingefügt. 

b) Nach Satz 1 wird folgender Satz eingefügt: 

„Die Kommunikationsinhalte sind nicht Bestandteil der Steuerda- 
ten eines informationstechnischen Protokolls zur Datenübertragung.“ 

c) Nach dem neuen Satz 3 werden die folgenden Sätze eingefügt: 

„Die Daten sind unverzüglich zu löschen, sobald sie für die Besei- 
tigung der Störung nicht mehr erforderlich sind. Eine Nutzung der Da- 
ten zu anderen Zwecken ist unzulässig. Soweit die Daten nicht automa- 
tisiert erhoben und verwendet werden, muss der betriebliche Daten- 
schutzbeauftragte unverzüglich über die Verfahren und Umstände der 
Maßnahme informiert werden. Der Diensteanbieter muss dem betrieb- 
lichen Datenschutzbeauftragten, der Bundesnetzagentur und der Bun- 
desbeauftragten für den Dafenschutz und die Informationsfreiheit am 
Ende eines Quartals detailliert über die Verfahren und Umstände von 
Maßnahmen nach Satz 6 in diesem Zeitraum schriftlich berichten. Die 
Bundesnetzagentur leitet diese Informationen unverzüglich an das Bun- 
desamt für Sicherheit in der Informationstechnik weiter. Der Betroffene 
ist von dem Diensteanbieter zu benachrichtigen, sofern dieser ermittelt 
werden kann. Wurden im Rahmen einer Maßnahme nach Satz 1 auch 
Steuerdaten eines informationstechnischen Protokolls zur Datenüber- 
tragung erhoben und verwendet, müssen die Berichte mindestens auch 
Angaben zum Umfang und zur Erforderlichkeit der Erhebung und Ver- 
wendung der Steuerdaten eines informationstechnischen Protokolls zur 
Datenübertragung enthalten.“ 

2. § 109 Absatz 5 wird wie folgt geändert: 
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a) In Satz 1 werden nach dem Wort „Bundesnetzagentur“ die Wörter „und 
dem Bundesamt für Sicherheit in der Informationstechnik“ eingefügt. 

b) Satz 5 wird aufgehoben. 

c) In Satz 8 wird die Angabe „§ 8d“ durch die Angabe „§ 8e“ ersetzt. 

3. § 109a wird wie folgt geändert: 

a) Nach Absatz 4 Satz 2 wird folgender Satz eingefügt: 

„Der Diensteanbieter darf die Teile des Datenverkehrs von und zu 
einem Nutzer, von denen eine Störung ausgeht, umleiten, soweit dies 
erforderlich ist, um den Nutzer über die Störungen benachrichtigen zu 
können.“ 

b) Nach Absatz 4 werden die folgenden Absätze 5 und 6 eingefügt: 

„(5) Der Diensteanbieter darf im Falle einer Störang die Nutzung 
des Telekommunikationsdienstes bis zur Beendigung der Störung ein- 
schränken, umleiten oder unterbinden, soweit dies erforderlich ist, um 
die Beeinträchtigung der Telekommunikations- und Datenverarbei- 
tungssysteme des Diensteanbieters, eines Nutzers im Sinne des Absat- 
zes 4 oder anderer Nutzer zu beseitigen oder zu verhindern und der Nut- 
zer die Störung nicht unverzüglich selbst beseitigt oder zu erwarten ist, 
dass der Nutzer die Störung selbst nicht unverzüglich beseitigt. 

(6) Der Diensteanbieter darf den Datenverkehr zu Störangsquellen 
einschränken oder unterbinden, soweit dies zur Vermeidung von Stö- 
rungen in den Telekommunikations- und Datenverarbeitungssystemen 
der Nutzer erforderlich ist.“ 

c) Der bisherige Absatz 5 wird Absatz 7. 

4. § 149 wird wie folgt geändert: 

a) Nach Absatz 1 Nummer 17b werden die folgenden Nummern einge- 
fügt: 

„17 c. entgegen § 100 Abs. 1 Satz 3 die Daten nicht oder nicht rechtzeitig 
löscht, 

17 d. entgegen § 100 Abs. 1 Satz 4 die Daten zu anderen Zwecken ge- 
nutzt werden,“ 

b) Die bisherige Nummer 17c wird Nummer 17e.‘ 

Berlin, den 29. März 2017 


Der Innenausschuss 


Ansgar Heveling 

Vorsitzender 
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Clemens Binninger 

Berichterstatter 


Gerold Reiehenbaeh 

Berichterstatter 


Martina Renner 

Berichterstatterin 


Dr. Konstantin von Notz 

Berichterstatter 
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Bericht der Abgeordneten Clemens Binninger, Gerold Reichenbach, Martina Renner 
und Dr. Konstantin von Notz 


I. Überweisung 

Der Gesetzentwurf auf Drucksache 18/11242 wurde in der 221. Sitzung des Deutschen Bundestages am 9. März 
2017 an den Innenausschuss federführend sowie an den Ausschuss für Recht und Verbraucherschutz, den Vertei- 
digungsausschuss, den Ausschuss für Verkehr und digitale Infrastruktur, den Ausschuss Digitale Agenda und den 
Haushaltsausschuss zur Mitberatung überwiesen. Die Unterrichtung der Bundesregierung auf Drucksache 
18/11620 wurde in der 227. Sitzung des Deutschen Bundestages am 29. März 2017 an die beteiligten Ausschüsse 
überwiesen. Der parlamentarische Beirat für nachhaltige Entwicklung beteiligte sich gutachtlich (Ausschuss- 
drucksache 18(4)802). 

II. Stellungnahmen der mitberatenden Ausschüsse 

Der Ausschuss für Recht und Verbraucherschutz hat in seiner 134. Sitzung am 22. März 20 17 mit den Stimmen 
der Fraktionen der CDU/CSU und SPD gegen die Stimmen der Fraktion BÜNDNIS 90/DlE GRÜNEN bei 
Stimmenthaltung der Fraktion DIE LINKE, empfohlen, den Gesetzentwurf anzunehmen. 

Der Haushaltsausschuss hat in seiner 100. Sitzung am 22. März 2017 die Annahme des Gesetzentwurfs mit den 
Stimmen der Fraktionen der CDU/CSU und SPD gegen die Stimmen der Fraktion BÜNDNIS 90/DlE GRÜNEN 
bei Stimmenthaltung der Fraktion DIE LINKE, empfohlen. 

Der Verteidigungsausschuss hat in seiner 88. Sitzung am 22. März 2017 mit den Stimmen der Fraktionen der 
CDU/CSU und SPD gegen die Stimmen der Fraktion BÜNDNIS 90/DlE GRÜNEN bei Stimmenthaltung der 
Fraktion DIE LINKE, die Annahme des Gesetzentwurfs empfohlen. 

Der Ausschuss für Verkehr und digitale Infrastruktur hat in seiner 102. Sitzung am 22. März 2017 mit den 
Stimmen der Fraktionen der CDU/CSU und SPD gegen die Stimmen der Fraktion BÜNDNIS 90/DlE GRÜNEN 
bei Stimmenthaltung der Fraktion DIE LINKE, die Annahme des Gesetzentwurfs empfohlen. 

Der Ausschuss Digitale Agenda hat in seiner 86. Sitzung am 29. März 2017 empfohlen, den Gesetzentwurf in 
der Fassung des Änderungsantrags der Koalitionsfraktionen auf Ausschussdmcksache 18(4)853neu mit den Stim- 
men der Fraktionen der CDU/CSU und SPD gegen die Stimmen der Fraktion BÜNDNIS 90/DlE GRÜNEN bei 
Stimmenthaltung der Fraktion DIE LINKE, anzunehmen. 

III. Beratungsverlauf und Beratungsergebnisse im federführenden Ausschuss 

Der Innenausschuss hat in seiner 1 12. Sitzung am 29. März 2017 den Gesetzentwurf abschließend beraten und 
empfiehlt mit den Stimmen der Fraktionen der CDU/CSU und SPD gegen die Stimmen der Fraktion BÜNDNIS 
90/DlE GRÜNEN bei Stimmenthaltung der Fraktion DIE LINKE, die Annahme des Gesetzentwurfs in der Fas- 
sung des Änderungsantrags der Koalitionsfraktionen auf Ausschussdrucksache 18(4)853neu. Zuvor wurde der 
Änderungsantrag auf Ausschussdrucksache 18(4)853neu mit den Stimmen der Fraktionen der CDU/CSU, SPD 
und DIE LINKE, gegen die Stimmen der Fraktion BÜNDNIS 90/DlE GRÜNEN angenommen. 

Zudem hat der Innenausschuss den Antrag der Koalitionsfraktionen auf Ausschussdrucksache 1 8(4)854 mit den 
Stimmen der Fraktionen der CDU/CSU, SPD und DIE LINKE, gegen die Stimmen der Fraktion BÜND- 
NIS 90/DlE GRÜNEN angenommen. Der Antrag der Fraktionen der CDU/CSU und der SPD für den Innenaus- 
schuss des Deutschen Bundestages zur Stärkung der IT-Sicherheit internetfähiger Geräte lautet: 

— Der Innenausschuss des Deutschen Bundestages stellt fest: 
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Aktuelle IT-Sicherheitsvorfalle haben gezeigt, dass von sämtlichen an das Internet angeschlossenen Geräten 
durch Angriffe von außen Gefahren ausgehen können, die beträchtliche Auswirkungen auf die Funktionsfähigkeit 
der Geräte selbst sowie auf die Verfügbarkeit von Telekommunikationsnetzen und ihrer Dienste entfalten können. 
Die Anzahl von automatisierten Schadprogrammen, die ohne Wissen des Nutzers an das Internet angeschlossene 
Geräte infizieren und unter fremde Kontrolle bringen können, steigt stetig. Derartige Angriffe hatten in der jün- 
geren Vergangenheit zur Folge, dass mehrere hunderttausend Nutzer ihren Intemetzugang teilweise mehrere Tage 
nur eingeschränkt oder gar nicht nutzen konnten. Diese Bedrohung wird sich künftig dadurch noch verstärken, 
dass immer mehr Geräte an das Internet angeschlossen werden. Nach Schätzungen werden bis zum Jahr 2020 ca. 
20 bis 50 Milliarden Geräte über das Internet miteinander vernetzt sein. 

Der Innenausschuss des Deutschen Bundestages hält es deshalb für erforderlich, hier zeitnah ein Maßnahmenpa- 
ket zur Erhöhung der IT-Sicherheit zu beschließen. Zum Einen sollen Befugnisse für die Anbieter von Telekom- 
munikationsdiensten in das Telekommunikationsgesetz aufgenommen werden, die die Erkennung und Behebung 
derartiger Sicherheitsvorfalle ermöglichen. Zum Anderen ist es unabdingbar, die IT-Sicherheit intemetfähiger 
Geräte zu erhöhen. 

Auf nationaler Ebene soll die IT-Sicherheit durch Schaffüng von Transparenz über das Sicherheitsniveau von 
intemetfahigen Geräten für die Verbraucher durch die Entwicklung eines Gütesiegels für IT-Sicherheitseigen- 
schaften gestärkt werden. So würden die IT-Sicherheitseigenschaften von intemetfahigen Geräten klar erkennbar 
gekennzeichnet und der Verbraucher in die Lage versetzt, sich bei einem Kauf bewusst für Produkte mit einem 
erhöhten IT-Sicherheitsniveau zu entscheiden. Die freiwillige Verwendung von Gütesiegeln ist rechtlich grund- 
sätzlich zulässig. Bereits in der „Cyber-Sicherheitsstrategie für Deutschland 2016“ hat die Bundesregierung an- 
gekündigt, ihre Aktivitäten auf dem Gebiet der Gütesiegel und Zertifikate für IT-Sicherheit auszubauen und - 
insbesondere hinsichtlich übergreifender Systeme für die Zertifizierang sowie einer einheitlichen Kennung - ge- 
eignete Vorschläge zu unterbreiten. Die Anwender sollen künftig auf Basis eines einheitlichen Gütesiegels bei 
der Kaufentscheidung für neue IT -Produkte und bei der Inansprachnahme entsprechender Dienstleistungen leicht 
und schnell feststellen können, welches Angebot sicher ausgestaltet ist und hierdurch zum Schutz der Daten bei- 
trägt. 

Die Rechtsvorschriften über die Bereitstellung von intemetfahigen Produkten auf dem Unionsmarkt sind europa- 
rechtlich harmonisiert. Da hier kein Spielraum für den nationalen Gesetzgeber in Bezug auf zusätzliche Anforde- 
rangen an derartige Geräte besteht, können entsprechende Regelungen für intemetfahige Produkte nur auf EU- 
Ebene geschaffen werden. Der Innenausschuss des Deutschen Bundestages ist der Auffassung, dass die derzeiti- 
gen europarechtlichen Regelungen nicht ausreichend sind. Die grundlegenden Anforderungen, die intemetfahige 
Geräte zum Zeitpunkt ihres Inverkehrbringens erfüllen müssen, sollten daher um IT-Sicherheitseigenschaften er- 
gänzt werden und somit Voraussetzung für den Marktzugang sein. 

- Der Innenausschuss des Deutschen Bundestages fordert die Bundesregierung auf, 

- das in der „Cyber-Sicherheitsstrategie für Deutschland 2016“ angekündigte Gütesiegel für IT-Sicher- 

heit unter Einbeziehung von Verbraucherschützem, Wirtschaftsvertretem, IT-Sicherheitsexperten und 
Gewerkschaften auszuarbeiten. Dazu sollte das Bundesamt für Sicherheit in der Informationstechnik 
(BSI) Technische Richtlinien mit IT-Sicherheitsmindestanforderangen für relevante Produktklassen 
veröffentlichen, nach der Hersteller ihre Produkte überprüfen lassen oder gegen die sie sich erklären 
können. Produkte, die diesen Vorgaben entsprechen, sollen mit einem „IT-Sicherheits-Gütesiegel“ 
des BSI versehen werden können; 

— sich auf EU-Ebene dafür einzusetzen, dass verbindliche Anforderungen an IT-Sicherheitseigenschaften 

für die Bereifstellung auf dem Markt von intemetfähigen Produkten auf europäischer Ebene geschaf- 
fen werden. 

IV. Begründung 

1. Zur Begründung allgemein wird auf Drucksachen 18/11242, 18/11620 verwiesen. Die vom Innenausschuss 
vorgenommenen Änderungen auf Grundlage des Änderungsantrags der Koalitionsfraktionen auf Ausschuss- 
dracksache 18(4)853neu begründen sich wie folgt: 
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Die Gesetzesänderungen dienen der Stärkung der IT- und Telekommunikationssicherheit. Sie erweitern die be- 
stehenden Vorschriften im Telekommunikationsgesetz um Befugnisse der Anbieter von Telekommunikations- 
diensten, um auf Störungen reagieren und damit die IT-Sicherheit netzseitig verbessern zu können. 

Zusätzlich soll die IT-Sicherheit durch Schaffung von Transparenz über das Sicherheitsniveau von intemetfähigen 
Geräten für die Verbraucher gestärkt werden. Dazu soll entsprechend dem Antrag der Fraktionen der CDU/CSU 
und der SPD für den Innenausschuss des Deutschen Bundestages vom 28. März 2017 zur Stärkung der IT-Sicher- 
heit intemetfähiger Geräte ein Gütesiegel für IT-Sicherheitseigenschaften entwickelt werden. So könnten die hier- 
mit bestätigten IT-Sicherheitseigenschaften von intemetfähigen Geräten für den Verbraucher klar erkennbar ge- 
kennzeichnet und so der Verbraucher in die Lage versetzt wird, bewusstere Kaufentscheidungen zu treffen. 

Die freiwillige Verwendung von Gütesiegeln ist rechtlich gmndsätzlich zulässig und erfordert keine gesetzliche 
Regelung. Die Bundesregierang wird nach bewährten Verfahren, z. B. im Rahmen von Anhörungen, unter Ein- 
beziehung von Verbraucherschützern, Wirtschaftsvertretem und Gewerkschaften, technische IT-Sicherheitsmin- 
destanforderangen für relevante Produktklassen entwickeln, das Bundesamt für Sicherheit in der Informations- 
technik darauf aufbauend eine Technische Richtlinie verfassen, nach der Fiersteller ihre Produkte bei vom Bun- 
desamt für Sicherheit in der Informationstechnik (BSl) anerkannten Stellen überprüfen lassen können. Produkte, 
die diesen Vorgaben entsprechen, können dann mit einem „IT-Sicherheits-Gütesiegel“ versehen werden und so 
einfach nach außen sichtbar belegen, dass sie die Anforderungen der jeweiligen Technischen Richtlinie erfüllen. 

Verbindliche Anforderungen an IT-Sicherheitseigenschaften für das Inverkehrbringen von Produkten können 
grundsätzlich auf europäischer Ebene erreicht werden. Daher wird in dem Antrag der Fraktionen der CDU/CSU 
und der SPD für den Innenausschuss des Deutschen Bundestages vom 28. März 2017 zur Stärkung der IT-Sicher- 
heit intemetfähiger Geräte angestrebt, dass sich die Bundesregierung hier aktiv für die Aufnahme von derartigen 
verbindlichen grundlegenden Anforderungen an die IT-Sicherheitseigenschaften für die Bereitstellung auf dem 
Markt von intemetfähigen Geräten einsetzen wird. 

Zu Nummer 1 

Buchstabe a) 

Die Befugnis des Diensteanbieters, für den Umgang mit Störangen Daten zu erheben und verwenden, wird um 
Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung erweitert. Je nach Angriffsart oder - 
durchführang sind dazu unterschiedliche Daten notwendig. Da die Schadfunktionen zumeist nicht Bestandteil der 
Verkehrsdaten (insbesondere sog. IP-Fleader) sind, kann es erforderlich sein, neben Verkehrsdaten auch weitere 
Daten zu untersuchen. Hierbei geht es um Teile der Protokolle, also um Steuerdaten eines informationstechni- 
schen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen 
oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der 
Kommunikation zwischen Empfänger und Sender notwendig sind. Es handelt sich um Informationen, die sich aus 
den verschiedenen Layem des sogenannten OSl-Schichtenmodels der ITU ergeben, also um Informationen zu 
technischen Übertragungsprotokollen, nicht jedoch um Inhalte eines Kommunikationsvorganges, die damit über- 
tragen werden. Sofern die Datenübertragung zugleich einen Telekommunikationsvorgang darstellt (z. B. das Sen- 
den einer E-Mail), sind die Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung zugleich 
Verkehrsdaten im Sinne des gemäß § 3 Nummer 30 TKG. 

Buchstabe b) 

Es handelt sich um eine Klarstellung, dass es nur um die technischen Informationen der Protokolle geht und die 
Kommunikationsinhalte damit nicht Bestandteil der Steuerdaten eines informationstechnischen Protokolls zur 
Datenübertragung sind. 

Buchstabe c) 

Die Datenerhebung und -Verwendung zur Beseitigung der Störang ist vom Diensteanbieter auf ein Minimum zu 
beschränken. Sobald der Zweck erreicht wurde, sind die Daten unverzüglich zu löschen. Die Datenerhebung und 
—Verwendung erfolgt gmndsätzlich automatisiert. Soweit die Daten nicht automatisiert erhoben und verwendet 
werden, ist der betriebliche Datenschutzbeauftragte zum Schutz der betroffenen Personen unverzüglich detailliert 
über die Verfahren und Umstände der Maßnahme zu informieren. 
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Darüber hinaus wird eine datenschutzrechtliche Aufsicht durch eine Berichtspflicht an die Bundesnetzagentur und 
den betrieblichen Datenschutzbeauftragten und an den Bundesbeauftragten für den Datenschufz und die Informa- 
tionsfreiheif sichergesfellf. Darüber hinaus sind die Information des Bundesamts für Sicherheit in der Informati- 
onstechnik und die Benachrichtigung des Betroffenen vorgesehen. Außerdem unterliegen die Vorgänge grand- 
sätzlich einer Vorabkontrolle nach § 4d Absatz 5 und 6 BDSG. 

Die Vorgaben nach § 108 TKG zur Gewährleistung von Notrufverbindungen bleiben hiervon unberührt. Der 
Diensteanbieter hat insbesondere weiterhin gemäß § 108 Absatz 1 Satz 2 alle erforderlichen Maßnahmen zu tref- 
fen, damit Notrafverbindungen jederzeit möglich sind. 

Zu Nummer 2 

Die Änderungen von Absatz 5 dienen der Verbesserung des Meldeverfahrens bei Beeinträchtigungen von Tele- 
kommunikationsnetzen und -diensten. Betreiber öffentlicher Telekommunikationsnetze und Erbringer öffentlich 
zugänglicher Telekommunikationsdienste sind zukünftig dazu verpflichtet, Beeinträchtigungen neben der Bun- 
desnetzagentur auch dem Bundesamt für Sicherheit in der Informationstechnik mitzuteilen. 

Mit der Änderung in Buchstabe c wird der Verweis auf Vorschriften des BSIG angepasst (Folgeänderung auf- 
grund Neunummerierung im BSIG). 

Zu Nummer 3 

Buchstabe a) 

Der neue Absatz 4 Satz 3 dient insbesondere dem Schutz der Telekommunikations- und Datenverarbeitungssys- 
teme des Nutzers. Hierzu wird dem Diensteanbieter erlaubt, Teile des Datenverkehrs von und zu einem Nutzer, 
von denen eine Störung ausgeht, zum Zwecke der Information der Nutzer umzuleiten (sog. „Sinkholing“). Durch 
die Umleitung innerhalb der eigenen Netze kann der Diensteanbieter den Nutzer, dessen Systeme von einer Schad- 
software befallen sind, zunächst identifizieren und ihn anschließend in die Lage versefzen, die Sförang zu besei- 
tigen. Dies kann z.B. über Wamseiten erfolgen, die Informationen nach Absatz 4 Satz 2 enthalten. 

Buchstabe b) 

Der neue Absatz 5 erlaubt es dem Diensteanbieter, den Datenverkehr bei Vorliegen einer Störung einzuschränken, 
umzuleiten oder zu unterbinden. Die Regelung dient dem Schutz der Telekommunikations- und Datenverarbei- 
tungssysteme des Diensteanbieters, des Nutzers im Sinne von Absatz 4 und anderer Nutzer vor Beeinträchtigun- 
gen. Der Diensteanbieter darf von dieser Befugnis unter den Voraussetzungen Gebrauch machen, dass er den 
Nutzer bereits über eine bestehende Störung nach Absatz 4 Satz 1 TKG informiert hat und dieser die Störung 
nicht unverzüglich selbst beseitigt hat oder eine unverzügliche Beseitigung durch den Nutzer nicht zu erwarten 
ist und der Eingriff in die Nutzung des Telekommunikationsdienstes zur Beseitigung oder zur Verhinderung der 
Beeinträchtigung erforderlich ist. Eine unverzügliche Beseitigung durch den Nutzer ist insbesondere dann nicht 
zu erwarten, wenn der Nutzer technisch gar nicht von dem Diensteanbieter benachrichtigt werden kann, z.B. weil 
die Störung von netzseitig nicht identifizierbaren „loT-Geräten“ (sog. „Intemet-of-Things-Geräten“) des Nufzers 
ausgeht. Diese Erlaubnis des Diensteanbieters ist insbesondere für Fälle erforderlich, in welchen der Nutzer seine 
Telekommunikations- und Datenverarbeitungssysteme nicht selbst von Schadsoftware bereinigt. Bleiben diese 
Teil eines Botnetzes und sind mit dem Telekommunikationsnetz verbunden, können sie als Werkzeug für Angriffe 
auf fremde Systeme missbraucht werden. 

Darüber hinaus wird dem Diensteanbieter erlaubt, den Datenverkehr zu filtern, um Gefahren, insbesondere für 
die Verfügbarkeit von fnformations- und Kommunikationsdiensten durch Cyber- Angriffe abzuwehren. Hierbei 
wird legitime Kommunikation von maliziöser Kommunikation getrennt. 

Der neue Absatz 6 erlaubt es dem Diensteanbieter, den Datenverkehr zu Störungsquellen einzuschränken oder zu 
unterbinden, um die Entstehung von Störungen in den Telekommunikations- und Datenverarbeitungssystemen 
der Nutzer zu vermeiden. Diese Befugnis ist erforderlich, weil Angreifer in der Regel modulare Angriffswerk- 
zeuge nutzen, um Telekommunikations- und Datenverarbeitungssysteme zu infizieren. Hierzu werden Systeme 
des Nutzers regelmäßig zunächst mit einem sogenannten Dropper (z. B. E Mail-Anhang) infiziert, der von Servern 
der Angreifer weitere Teile des Schadprogrammes nachlädt, die den eigentlichen Schadteil enthalten. Dieses 
Nachladen lässt sich netzseitig verhindern, indem der Zugriff auf die Server der Angreifer unterbunden wird. 
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Störungsquellen, zu denen die Kommunikation unterbunden werden darf, sind beispielsweise Command and Con- 
trol-Server, Dropzones, in die gestohlene Daten ausgeleitet werden, oder Server, über die Schadsoftware verteilt 
wird. 

Die Vorgaben nach § 108 TKG zur Gewährleistung von Notrafverbindungen bleiben von den Maßnahmen auf 
Grundlage des § 109a unberührt. Der Diensteanbieter hat insbesondere weiterhin gemäß § 108 Absatz 1 Satz 2 
alle erforderlichen Maßnahmen zu treffen, damit Notrufverbindungen jederzeit möglich sind. 

Buchstabe c) 

Es handelt sich um eine Folgeänderung. 

Zu Nummer 4 

Die Erweiterung der Ordnungswidrigkeitentatbestände in § 149 um die nicht oder nicht rechtzeitige Löschung der 
erhobenen Daten in Nummer 17c und Nutzung zu anderen Zwecken in Nummer 17d und Verschiebung der bis- 
herigen Nummer 17c sind Folgeänderungen zur Änderung von § 100 Absatz 1 TKG. 

2. Die Koalitionsfraktionen betonen, Deutschland hätte gerade im europäischen Vergleich bei der Erhöhung der 
Cyber Sicherheit insbesondere mit der Verabschiedung des IT-Sicherheitsgesetzes bereits viel erreicht. Wegen der 
deutschen Vorreiterrolle bei der IT-Sicherheit seien inhaltlich nur kleinere Anpassungen durch die NlS-Richtlinie 
notwendig. Grundsätzlich könne in dem sich ständig wandelnden Bereich der Cybersicherheit kein endgültiges 
gesetzgeberisches Niveau geschaffen werden; auch in Zukunft werde es im Zuge der Fortentwicklung der Technik 
notwendig bleiben, die Rechtslage zu prüfen und auf sich in der Zukunft ergebende, neue Bedrohungslagen wie 
etwa die Sicherheit des „Internet of Things“ (lOT) zu reagieren. Richtigerweise werde durch den Gesetzentwurf 
das Bundesamt für die Sicherheit in der Informationstechnik (BSl) gestärkt. Bei der Frage der Einführang eines 
Gütesiegels im Rahmen der europarechtlichen Vorgaben verbleibe dem nationalen Gesetzgeber jedoch kaum 
Handlungsspielraum. Trotzdem werde an diesem Ziel festgehalten. Der Zusatzantrag verdeutliche dies. Sicherheit 
könne nur durch ein vernünftiges Nutzerverhalten erreicht werden, das bereits bei der Auswahl der Geräte in den 
Blick genommen werden müsse. Insgesamt sei deshalb der Gesetzentwurf ein weiterer wichtiger Schritt im Kampf 
gegen die Bedrohung durch Cyberkriminalität. 

Die Fraktion DIE LINKE, kündigt an, sich trotz der zweifellos bestehenden Notwendigkeit gesetzgeberischen 
Handelns im Bereich der Cybersicherheit bei diesem Gesetzentwurf zu enthalten. Die durch die Koalitionsfrakti- 
onen angestrebte Methodik über Zertifizierungen, Gütesiegel und kooperatives Zusammenwirken genüge nicht. 
Notwendig wären regulatorische Verabredungen zwischen Herstellern und Betreibern. Auch die Schwelle der 
„erheblichen Sicherheitsvorfälle“, ab denen Mitteilungen stattfinden müssfen, sei nur unspezifisch bestimmt und 
biete dementsprechend Ausweich- oder Umgehungsmöglichkeiten. Dem Änderungsantrag und Antrag der Koa- 
litionsfraktionen werde zugestimmt, weil die Datenerhebung aus Sicht der Nutzerinnen und Nutzer begrüßt werde. 
Es müsse aber sichergestellt werden, dass diese Daten nicht an Sicherheitsbehörden weitergegeben würden. 

Die Fraktion BÜNDNIS 90/DIE GRÜNEN lehnt den Gesetzentwurf ab. Bereits die Verabschiedung des IT- 
Sicherheitsgesetzes vor der europäischen Richtlinie sei kritisch zu sehen gewesen. Nunmehr gebe es zwei nicht 
vollständig kohärente Regelungen, deren nach kurzer Zeit wieder erforderliche Anpassung einen unnötigen Auf- 
wand insbesondere für die Wirtschaft bedeute. Grundsätzlich werde die NIS-Richtlinie nicht ausreichend umge- 
setzt, Verfahrens- und datenschutzrechtliche Probleme bestünden fort. Die Ansiedlung des BSI beim Bundesmi- 
nisterium des Innern sei äußerst problematisch, da das der Fachaufsicht des BMI unterstehende Bundesamt für 
Verfassungsschutz enorme Gelder für die Aufdeckung von Sicherheifslücken erhalte, während die Wirtschaft 
verpflichtet werde, dem BSI die eigenen entdeckten Sicherheitslücken zu melden. So fehle eine Vertrauensbasis 
für Unternehmen, um sich im Schadensfall an das BSI zu wenden. Auch sei mangelhaft, nach wie vor keine 
verschärften Haftungsregelungen einzuführen, um die Befreiber krifischer Infrastrukturen zu größeren Investitio- 
nen in die IT-Sicherheit zu zwingen. Auf Freiwilligkeit zu setzen sei hier der falsche Weg. Schließlich sei das 
parlamentarische Verfahren auch wegen eines erst am Vorabend vorgelegten Änderungsantrages von weitrei- 
chender Bedeutung mindestens fragwürdig. 
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